Compartilhar via

Isolamento e controlo de acesso no Microsoft 365

  • Artigo

O Microsoft Entra ID e o Microsoft 365 usam um modelo de dados altamente complexo que inclui dezenas de serviços, centenas de entidades, milhares de relações e dezenas de milhares de atributos. Em um nível alto, o Microsoft Entra ID e os diretórios de serviço são os contêineres de locatários e destinatários mantidos em sincronia usando protocolos de replicação baseados no estado. Além das informações de diretório contidas no Microsoft Entra ID, cada uma das cargas de trabalho de serviço tem a sua própria infraestrutura de serviços de diretório.

Sincronização de dados de inquilinos do Microsoft 365.

Neste modelo, não existe uma única origem de dados de diretório. Sistemas específicos possuem partes individuais de dados, mas nenhum sistema contém todos os dados. Os serviços do Microsoft 365 cooperam com o Microsoft Entra ID neste modelo de dados. O Microsoft Entra ID é o "sistema da verdade" para dados compartilhados, que normalmente são dados pequenos e estáticos usados por cada serviço. O modelo federado usado no Microsoft 365 e Microsoft Entra ID fornece a exibição compartilhada dos dados.

O Microsoft 365 usa armazenamento físico e armazenamento em nuvem do Azure. O Exchange Online (incluindo a Proteção do Exchange Online) utiliza o seu próprio armazenamento para dados do cliente. O SharePoint utiliza o armazenamento do SQL Server e o Armazenamento do Azure, daí a necessidade de isolamento adicional dos dados do cliente ao nível do armazenamento.

Exchange Online

O Exchange Online armazena dados de clientes em caixas de correio. As caixas de correio são alojadas em bases de dados do Motor de Armazenamento Extensível (ESE) denominadas bases de dados de caixa de correio. Isto inclui caixas de correio de utilizador, caixas de correio ligadas, caixas de correio partilhadas e caixas de correio de pastas públicas.

O conteúdo da caixa de correio do utilizador inclui:

  • E-mails e anexos de e-mail
  • Informações de calendário e de disponibilidade
  • Contatos
  • Tarefas
  • Observações
  • Grupos
  • Dados de inferência

Cada base de dados de caixa de correio no Exchange Online contém caixas de correio de vários inquilinos. Um código de autorização protege cada caixa de correio, incluindo dentro de um inquilino. Por predefinição, apenas o utilizador atribuído tem acesso a uma caixa de correio. A lista de controlo de acesso (ACL) que protege uma caixa de correio contém uma identidade autenticada pelo Microsoft Entra ID ao nível do inquilino. As caixas de correio de cada inquilino estão limitadas a identidades autenticadas no fornecedor de autenticação do inquilino, que inclui apenas utilizadores desse inquilino. O conteúdo no inquilino A não é acessível pelos utilizadores no inquilino B, a menos que seja explicitamente aprovado pelo inquilino A.

SharePoint

O SharePoint tem vários mecanismos independentes que fornecem isolamento de dados. Armazena objetos como código abstrato nas bases de dados de aplicações. Por exemplo, quando um utilizador carrega um ficheiro para o SharePoint, o ficheiro é desmontado, traduzido para código da aplicação e armazenado em várias tabelas em várias bases de dados.

Se um utilizador puder obter acesso direto ao armazenamento que contém os dados, o conteúdo não é interpretável para um sistema humano ou qualquer outro que não o SharePoint. Estes mecanismos incluem propriedades e controlo de acesso de segurança. Todos os recursos do SharePoint são protegidos pelo código de autorização e pela política de controlo de acesso baseado em funções (RBAC), incluindo dentro de um inquilino. A lista de controlo de acesso (ACL) que protege um recurso contém uma identidade autenticada ao nível do inquilino. Os dados do SharePoint para um inquilino estão limitados a identidades autenticadas pelo fornecedor de autenticação do inquilino.

Além das ACLs, uma propriedade ao nível do inquilino que especifica o fornecedor de autenticação (que é o ID do Microsoft Entra específico do inquilino), é escrita uma vez e não pode ser alterada uma vez definida. Depois de a propriedade de inquilino do fornecedor de autenticação ter sido definida para um inquilino, não pode ser alterada com as APIs expostas a um inquilino.

É utilizado um SubscriptionId exclusivo para cada inquilino. Todos os sites de clientes pertencem a um inquilino e são atribuídos um SubscriptionId exclusivo ao inquilino. A propriedade SubscriptionId num site é escrita uma vez e é permanente. Depois de atribuído a um inquilino, um site não pode ser movido para um inquilino diferente. O SubscriptionId é a chave utilizada para criar o âmbito de segurança para o fornecedor de autenticação e está associado ao inquilino.

O SharePoint utiliza o SQL Server e o Armazenamento do Azure para o armazenamento de metadados de conteúdo. A chave de partição do arquivo de conteúdos é SiteId no SQL. Ao executar uma consulta SQL, o SharePoint utiliza um SiteId verificado como parte de uma verificação subscriptionId ao nível do inquilino.

O SharePoint armazena conteúdos de ficheiros encriptados em blobs do Microsoft Azure. Cada farm do SharePoint tem a sua própria conta do Microsoft Azure e todos os blobs guardados no Azure são encriptados individualmente com uma chave armazenada no arquivo de conteúdos SQL. A chave de encriptação protegida no código pela camada de autorização e não exposta diretamente ao utilizador final. O SharePoint tem monitorização em tempo real para detetar quando um pedido HTTP lê ou escreve dados para mais do que um inquilino. A identidade do pedido SubscriptionId é controlada em relação ao SubscriptionId do recurso acedido. Os pedidos de acesso a recursos de mais do que um inquilino nunca devem ser realizados pelos utilizadores finais. Os pedidos de serviço num ambiente multi-inquilino são a única exceção. Por exemplo, o crawler de pesquisa solicita alterações de conteúdo para uma base de dados inteira de uma só vez, o que normalmente envolve consultar sites de mais do que um inquilino num único pedido de serviço por motivos de eficiência.

Teams

Os seus dados do Teams são armazenados de forma diferente, consoante o tipo de conteúdo.

Consulte a sessão simultânea do Ignite sobre a arquitetura do Microsoft Teams para um debate aprofundado.

Dados principais do cliente do Teams

Se o seu inquilino estiver aprovisionado na Austrália, Canadá, União Europeia, França, Alemanha, Índia, Japão, África do Sul, Coreia do Sul, Suíça (que inclui o Liechtenstein), os Emirados Árabes Unidos, o Reino Unido ou os Estados Unidos, a Microsoft armazena os seguintes dados de cliente inativos apenas nessa localização:

  • Conversas do Teams, conversas de equipa e canal, imagens, mensagens de voicemail e contactos.
  • Conteúdo do site do SharePoint e os ficheiros armazenados nesse site.
  • Ficheiros carregados para o OneDrive para trabalho ou escola.

Chat, mensagens de canal, estrutura da equipa

Todas as equipas no Teams são apoiadas por um Grupo do Microsoft 365 e pelo respetivo site do SharePoint e caixa de correio do Exchange. As conversas privadas (incluindo conversas de grupo), as mensagens enviadas como parte de uma conversa num canal e a estrutura das equipas e canais são armazenadas num serviço de chat em execução no Azure. Os dados também são armazenados numa pasta oculta nas caixas de correio do utilizador e do grupo para ativar as funcionalidades do Information Protection.

Voicemail e contactos

Os voicemails são armazenados no Exchange. Os contactos são armazenados no arquivo de dados na cloud baseado no Exchange. O Exchange e o arquivo na cloud baseado no Exchange já fornecem residência dos dados em cada uma das áreas geográficas do datacenter mundial. Para todas as equipas, o voicemail e os contactos são armazenados no país para a Austrália, Canadá, França, Alemanha, Índia, Japão, Emirados Árabes Unidos, Reino Unido, África do Sul, Coreia do Sul, Suíça (que inclui o Liechtenstein) e os Estados Unidos. Para todos os outros países, os ficheiros são armazenados nos EUA, na Europa ou Asia-Pacific localização com base na afinidade de inquilino.

Imagens e multimédia

Os suportes de dados utilizados em chats (exceto giphy GIFs, que não são armazenados mas são uma ligação de referência para o URL do serviço Giphy original, Giphy é um serviço não Microsoft) são armazenados num serviço de multimédia baseado no Azure que é implementado nas mesmas localizações que o serviço de chat.

Arquivos

Os ficheiros (incluindo o OneNote e o Wiki) que alguém partilha num canal são armazenados no site do SharePoint da equipa. Os ficheiros partilhados numa conversa privada ou numa conversa durante uma reunião ou chamada são carregados e armazenados na conta do OneDrive escolar ou profissional do utilizador que partilha o ficheiro. O Exchange, o SharePoint e o OneDrive já fornecem residência dos dados em cada uma das áreas geográficas de datacenters em todo o mundo. Assim, para clientes existentes, todos os ficheiros, blocos de notas do OneNote, conteúdos wiki do Teams e caixas de correio que fazem parte da experiência do Teams já estão armazenados na localização com base na sua afinidade de inquilino. Os ficheiros são armazenados no país para a Austrália, Canadá, França, Alemanha, Índia, Japão, Emirados Árabes Unidos, Reino Unido, África do Sul, Coreia do Sul e Suíça (que inclui o Liechtenstein). Para todos os outros países, os ficheiros são armazenados na localização dos EUA, Europa ou Ásia-Pacífico com base na afinidade de inquilino.